-
หน้าแรก
-
PC CONSOLE GAME
- ด่วน!!! พบช่องโหว่ใหม่ในบราวเซอร์(แทบทุกตัว)
ด่วน!!! พบช่องโหว่ใหม่ในบราวเซอร์(แทบทุกตัว)
[p]รายงานข่าวแจ้งว่า พบช่องโหว่ทางด้านระบบความปลอดภัยในบราวเซอร์แทบทุกตัว โดยเฉพาะฟีเจอร์ tabbed browsing (ท่องเว็บหลายๆ แห่งได้พร้อมกัน โดยแยกเป็นแท็บของไซต์ต่างๆ ในหน้าต่างเดียว) ที่พบใน บราวเซอร์ในตระกูล Mozilla, Opera, Konqueror และบรรดาปลั๊กอินที่ติดตั้งเข้าไปใน IE [p]Secunia บริษัทผู้ให้ข้อมูลทางด้านระบบรักษาความปลอดภัยแจ้งว่า พบ 2 ช่องโหว่ของความปลอดภัยในฟีเจอร์แท็บบราวซิงที่นิยมใช้กันในบราวเซอร์ปัจจุบัน ช่องโหว่แรกจะเปิดโอกาสให้เว็บไซต์อันตรายที่ถูกเปิดขึ้นในแท็บอันใดอันหนึ่งในหน้าต่างบราวเซอร์สามารถขโมยข้อมูลที่ผู้ใช้พิมพ์เข้าไปในเว็บไซต์ที่ปรากฏอยู่ในในแท็บอื่นได้ ส่วนอีกช่องโหว่หนึ่งจะเปิดโอกาสให้เว็บไซต์อันตรายเปิดไดอะล็อกบ๊อกซ์ที่ปลอมให้ดูเหมือนมาจากเว็บไซต์ที่เปิดอยู่ในแท็บอื่นได้ [p]ทาง Secunia แนะนำให้นักท่องเว็บที่ใช้ฟีเจอร์แท็บบราวซิงปิดการทำงานของจาวาสคริปท์ (JavaScript) หรือหลีกเลี่ยงการเปิดเว็บไซต์ที่ไว้ใจได้ ขณะที่เปิดเว็บไซต์ที่ไม่มีการรับรอง (untrusted) ไว้ในแท็บใดแท็บหนึ่งของบราวเซอร์ สำหรับผู้ใช้ Konqueror ใน Linux ล่าสุดทางกลุ่ม KDE Project ได้แก้ไขข้อบกพร่องดังกล่าวในเวอร์ชั่นล่าสุดแล้ว ส่วนทางด้าน Mozilla Foundation คาดว่า ปัญหานี้จะถูกแก้ไขใน Firefox 1.0 ที่กำลังจะออกภายในสองสัปดาห์ข้างหน้านี้ สำหรับ Opera ยังไม่มีการให้คอมเมนต์ในเรื่องนี้ [p]ทางด้านไมโครซอฟท์ นอกจากจะโดนหางเลขจากปลั๊กอินแท็บบราวซิงแล้ว ยังมีอีก 2 ช่องโหว่ที่อันตรายมากนั่นคือ ช่องโหว่ที่เกิดขึ้นขณะ drag-and-drop ซึ่งพบเมื่อเดือนสิงหาคมที่ผ่านมา โดยช่องโหว่ดังกล่าวจะทำให้ผู้ไม่หวังดีแอบใส่โค้ด HTML เข้าไปในเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อได้ ส่วนช่องโหว่ที่สองจะเป็นช่องโหว่ที่อันตรายกว่า เนื่องจากมันสามารถหลบหลีกกลไกรักษาความปลอดภัยที่มีอยู่ใน Windows XP SP2 ได้ ซึ่งอัพเดตล่าสุดที่ออกมาในเดือนนี้ ก็ยังไม่สามารถป้องกันผู้บุกรุกจากการเข้าโจมตีโดยอาศัยช่องโหว่ดังกล่าวนี้ได้ โดยช่องโหว่นี้จะเปิดโอกาสให้ผู้บุกรุกรันเอกสาร HTML บนเครื่องคอมพิวเตอร์ของเหยื่อได้ [p]ช่องโหว่ทั้ง 2 เมื่อถูกใช้งานร่วมกันจะทำให้เว็บไซต์วายร้ายสามารถแอบใส่โค้ดอันตราย และสั่งรันบนเครื่องคอมพิวเตอร์ที่เข้าไปแวะเยี่ยมชมเว็บไซต์ของผู้ไม่หวังดีได้ ซึ่งความจริงช่องโหว่ที่พบนี้ไม่ได้เป็นช่องโหว่ใหม่แต่อย่างใด แต่เป็นการดัดแปลงมาจากช่องโหว่ที่เกิดจากแท็บ Http-equiv ที่เคยเกิดขึ้นในอีเมล์ ทางด้านไมโครซอฟท์ให้ความเห็นว่า การใช้ช่องโหว่ดังกล่าวในการโจมตีจะทำได้ไม่ง่ายนัก [p]รายงานข่าวจากทางด้านไมโครซอฟท์ก่อนหน้านี้ระบุว่า การที่ผู้ใช้จะโดนเล่นงานจากช่องโหว่ดังกล่าวได้นั้น จะต้องมีการสั่งให้มีการโจมตีด้วยตัวผู้ใช้เองด้วย โดยขั้นแรกผู้บุกรุกจะต้องหลอกล่อให้ผู้ใช้เข้าไปยังเว็บไซต์กับดักก่อน จากนั้นต้องพยายามหลอกให้ผู้ใช้ทำตามขั้นตอนต่างๆ ตามลำดับบนเว็บไซต์นั้น เสร็จแล้ว ต้องรีบู๊ต หรือล็อกออฟระบบก่อนที่การโจมตีจะทำได้สำเร็จ ทางบริษัทเชื่อว่า ไม่น่าจะมีผู้ใช้พีซีที่จะทำตามขั้นดังกล่าว [p]ข้อเท็จจริงก็คือ ช่องโหว่ที่พบใน IE ดูจะวิกฤตกว่าช่องโหว่ที่พบในบราวเซอร์ตัวอื่นๆ ซึ่งบราวเซอร์ส่วนใหญ่ที่พบบั๊กในแท็บบราวซิงต่างแก้ไขเป็นการเร่งด่วนแล้ว ในขณะที่ 2 ช่องโหว่ที่พบเฉพาะใน IE กลับยังไม่มีการแก้ไขแต่อย่างใด [color=red](ผู้เชี่ยวชาญแนะนำให้ใช้ฟังก์ชัน Lockdown ใน Local zone ที่มากับ Windows XP SP2 ซึ่งจะป้องกันไม่ให้ระบบรันโปรแกรมภายนอกที่ยังไม่ได้รับการตรวจสอบ)[/color][img]http://www.online-station.net/news/files/0410/934_iebug.bmp[/img]
